Популярные пароли 1. password qwerty 5. abc monkey letmein 9. trustno1 10. dragon 11. baseball iloveyou 14. master 15. sunshine 16. ashley 17. bailey 18. passw0rd 19. shadow superman 23. qazwsx 24. michael 25. football

ПОНЯТИЕ УЩЕРБА

Ущерб включает цену ресурса - затраты на производство; стоимость восстановления или создания нового ресурса; стоимость восстановления работоспособности организации (при работе с искаженным ресурсом, без него, при дезинформации); стоимость вынужденного простоя; стоимость упущенной выгоды; стоимость выплаты неустоек, штрафов; стоимость затрат на реабилитацию, престижа, имени фирмы; стоимость затрат на поиск новых клиентов, взамен более не доверяющих фирме; стоимость затрат на поиск (или восстановление) каналов связи, информационных источников.

Управление рисками Принятие риска Изменение характера риска Уклонение от риска Уменьшение риска

Возможные реализации Угрозы, обусловленные действиями субъекта (антропогенные угрозы) Кража, подмена, уничтожение (носители информации, пароли, СВТ) и т.д. Угрозы, обусловленные техническими средствами (техногенные угрозы) нарушение работоспособности, старение носителей информации, уничтожение… и т.д. Угрозы, обусловленные стихийными источниками Исчезновение персонала, уничтожение помещений и т.п.

МОДЕЛИРОВАНИЕ ОКРУЖЕНИЯ Моделирование угроз на разных этапах жизненного цикла

Этап проектирования Выявление главных источников риска и предполагаемых факторов, влияющих на риск Предоставление исходных данных для оценки системы в целом Определение и оценка возможных мер безопасности Предоставление исходных данных для оценки потенциально опасных действий и систем Обеспечение соответствующей информации при проведении ОКР Оценка альтернативных решений

Этап эксплуатации и техобслуживания Контроль и оценка данных эксплуатации Обеспечение исходными данными процесса разработки эксплуатационной документации Корректировка информации об основных источниках риска и влияющих факторах Предоставление информации по значимости риска для принятия оперативных решений Определение влияния изменений в оргструктуре, производстве, процедурах эксплуатации и компонентах системы Подготовка персонала

Этап вывода из эксплуатации Предоставление исходных данных для новой версии системы Корректировка информации об основных источниках риска и влияющих факторах

МОДЕЛИРОВАНИЕ ОКРУЖЕНИЯ Стратегии анализа рисков

Стратегии анализа риска БазовыйНеформальныйДетальныйКомбинированный Источник: ГОСТРИСО/МЭКТО (ISO\IECTR )

Базовый подход Принятие усредненного значения риска для всех систем Выбор стандартных средств защиты Сложно применим в организациях с системами разного уровня критичности, разными видами конфиденциальной информации Достоинства Минимум ресурсов Унификация защитных мер Недостатки Завышение или занижение уровня риска

Неформальный подход Проведение анализа, основанного на практическом опыте конкретного эксперта Недостатки Увеличивается вероятность пропуска важных деталей Трудности при обосновании защитных мер Возможна низкая квалификация эксперта Зависимость от субъективности или увольнения эксперта Достоинства Не требует значительных средств и времени

Детальный подход Детальная идентификация и оценка активов, оценка угроз, оценка уровня уязвимости активов и т.д. Недостатки Значительные финансовые, временные и людские ресурсы Вероятность опоздать с выбором защитных мер из-за глубокого анализа Достоинства Адекватный выбор защитных мер

Комбинированный подход Предварительный анализ высокого уровня для всех систем с последующей детализацией для наиболее критичных для бизнеса систем и использованием базового подхода для менее критичных систем Достоинства Быстрая оперативная оценка систем с последующим выбором адекватного метода анализа рисков Оптимизация и эффективность использования ресурсов Недостатки Потенциальная ошибочность отнесения систем к некритичным для бизнеса